Bug Bountyn hyödyt tietoturvatestauksessa : tapaustutkimus - Lähitapiola

Abstract

Tämän tutkimuksen tarkoituksena oli tuottaa tieteellistä dataa Bug Bountyn hyödyistä ja haitoista yrityksille. Tutkimuksella haluttiin avata uutta tutkimuskenttää Bug Bountyn parissa ja rohkaista yrityksiä ottamaan Bug Bounty käyttöön. Tutkimuskysymyksiä tässä tutkimuksessa oli kolme kappaletta. Ne olivat: Mitä hyötyjä LähiTapiolalle on ollut Bug Bountyn käyttöönotosta, mitä ongelmia ja riskejä Bug Bountysta on ollut LähiTapiolalle, sekä Mitä opittiin ja mitä vietiin käytäntöön? Tutkimus toteutettiin kirjallisuuskatsauksen ja empiirisen tutkimuksen yhdistelmänä. Tutkimustulokset olivat kohtalaisen yksimielisiä. Haastateltujen mukaan Bug Bounty on selvästi auttanut yritystä tuottamaan parempaa tietoturvaa sovelluksilleen. Hyötyinä nähtiin positiivinen julkisuus, vapautuneet resurssit ja haavoittuvuuksien konkreettinen vähentyminen. Suoranaisia ongelmia ei löytynyt. Riskit olivat potentiaalisia riskejä, jotka eivät koskaan toteutuneet. Nämä riskit olivat, negatiivinen julkisuus, palveluiden kaatuminen liiallisten käyttäjämäärien takia ja negatiivinen palaute. Nämä riskit nähtiin geneerisinä ja niiden todettiin pätevän lähes kaikkiin yrityksiin. Tutkimustulosten puitteissa tunnistettiin joitain haittoja, mitä Bug Bounty aiheutti LähiTapiolalle. Nämä haitat voivat aiheutua myös muille yrityksille. Niitä olivat palveluiden hitaus yhden päivän ajan Bug Bounty julkistamisesta, pitkä prosessi haavoittuvuuden löytymisen ja sen korjaamisen välillä, sekä kielimuuri, koska LähiTapiolan Bug Bounty on kansainvälinen. Opittuina asioina esille nousivat muun muassa uusi tapa suhtautua tietoturvaan ja sen parempi ymmärtäminen, ammatillisen osaamisen kehittyminen ja kansainvälisyyden aiheuttamat erot etiikan ja moraalin rajoissa. Empiirisen osion tulokset vastasivat hyvin pitkälti kirjallisuuskatsauksen aikana esitettyjä aiempien tutkimusten ja teorioiden tuloksia. Tämän perusteella tulosten voidaan todeta olevan käytettäviä jatkossa ja ne puoltavat yleistä linjaa, jonka mukaan Bug Bountysta on hyötyä yrityksille. Bug Bountyn käyttö on turvallista ja se tuo positiivista mainetta yrityksille. Tulokset ovat myös luotettavia.